SIL評(píng)估方法在合成氨裝置的應(yīng)用

田 龍

(云南云天化紅磷化工有限公司，云南 開遠(yuǎn) 661600)

0 引言

合成氨是化肥制造的基礎(chǔ)原料產(chǎn)品。合成氨生產(chǎn)工藝以煤為原料，經(jīng)過煤制氣、凈化、壓縮、脫碳、精煉、合成等工序生產(chǎn)合成氨。合成氨工藝具有易燃、易爆、高溫、高壓等危險(xiǎn)特性，是國(guó)家安全監(jiān)管總局關(guān)于公布的首批重點(diǎn)監(jiān)管危險(xiǎn)化工工藝。根據(jù)《國(guó)家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(安監(jiān)總管三〔2014〕116號(hào))要求，必須對(duì)在役合成氨裝置開展安全儀表系統(tǒng)(safety instrumented system，SIS)評(píng)估，加強(qiáng)SIS的生命周期管理，提升本質(zhì)安全水平。本文以合成氨裝置典型的安全儀表功能(safety instrumented function，SIF)回路進(jìn)行安全整性等級(jí)(safety integrity level,SIL)定級(jí)為例，開展生產(chǎn)工藝過程危險(xiǎn)與可操作性分析(hazard and operability study，HAZOP)分析和保護(hù)層分析(layer of protection analysis，LOPA)，確定現(xiàn)實(shí)安全風(fēng)險(xiǎn)等級(jí)。通過SIS的SIF回路的安全功能分配，達(dá)到降低風(fēng)險(xiǎn)的目的。

1 合成氨裝置的HAZOP

風(fēng)險(xiǎn)是某個(gè)規(guī)定的危險(xiǎn)事件發(fā)生的頻率及其后果的一個(gè)度量[1]。在進(jìn)行HAZOP之前，企業(yè)應(yīng)制定風(fēng)險(xiǎn)矩陣，以明確風(fēng)險(xiǎn)的可能性和后果嚴(yán)重程度標(biāo)準(zhǔn)。后果嚴(yán)重程度分為1～5級(jí)，即低后果、較低后果、中后果、高后果、很高后果。分別從人員職業(yè)健康影響、財(cái)產(chǎn)損失影響、環(huán)境影響及企業(yè)聲譽(yù)影響四個(gè)維度評(píng)價(jià)后果的嚴(yán)重程度。風(fēng)險(xiǎn)發(fā)生的頻率分為1～7級(jí)，即發(fā)生頻率在10-6～1。識(shí)別出的高(很高)風(fēng)險(xiǎn)必須采取降低風(fēng)險(xiǎn)的措施，使之達(dá)到允許風(fēng)險(xiǎn)。低風(fēng)險(xiǎn)不需采取行動(dòng)，中風(fēng)險(xiǎn)可選擇性的采取行動(dòng)。

本文以合成氨造氣工序半水煤氣氣柜作為分析節(jié)點(diǎn)，開展HAZOP分析。造氣工序的主要工藝過程如下。

由蒸汽過熱器而來的過熱蒸汽，經(jīng)過煤氣發(fā)生爐上部進(jìn)入爐內(nèi)。蒸汽在煤氣發(fā)生爐內(nèi)自上而下經(jīng)過高溫炭層，分解得到半水煤氣。溫度約350 ℃的半水煤氣由爐底引出后進(jìn)入安全槽，通過半水煤氣總管送至造氣廢熱鍋爐回收熱量，使半水煤氣溫度降至140 ℃左右。最后，半水煤氣送入煤氣洗滌塔底部，與頂部噴淋下來的水逆流接觸除塵、降溫，再送往半水煤氣氣柜貯存使用。來自氣柜的半水煤氣(1.0～4.5 kPa)經(jīng)羅茨風(fēng)機(jī)加壓送至半水煤氣凈化工序處理。本文主要分析的設(shè)備或分析參數(shù)包括氣柜腐蝕狀況、氣柜內(nèi)半水煤氣氧含量參數(shù)、氣柜的高度測(cè)量?jī)x表及氣柜生產(chǎn)運(yùn)行其他方面的參數(shù)等。本文通過引導(dǎo)詞分析其偏離可能原因、后果及現(xiàn)有的安全措施，從而給出建議措施，實(shí)現(xiàn)對(duì)氣柜高度參數(shù)偏差場(chǎng)景的分析。簡(jiǎn)化的氣柜危險(xiǎn)性分析如表1所示。

表1 氣柜危險(xiǎn)性分析Tab.1 Hazard analysis of gas storage tank

通過分析可以看出：羅茨風(fēng)機(jī)(碳?xì)鋲嚎s機(jī))故障停機(jī)或氣柜高度測(cè)量?jī)x表故障測(cè)量值錯(cuò)誤，可能導(dǎo)致氣柜升高，嚴(yán)重時(shí)甚至導(dǎo)致氣柜導(dǎo)軌脫軌，造成半水煤氣泄漏風(fēng)險(xiǎn)。此過程風(fēng)險(xiǎn)評(píng)估為中風(fēng)險(xiǎn)，需增加氣柜升高后的自動(dòng)放空閥。當(dāng)上游造氣工序產(chǎn)氣量低、無半水煤氣送入或氣柜高度測(cè)量?jī)x表故障測(cè)量值錯(cuò)誤時(shí)，下游設(shè)備繼續(xù)運(yùn)行會(huì)導(dǎo)致氣柜高度降低，嚴(yán)重時(shí)會(huì)使氣柜抽負(fù)壓，造成設(shè)備損壞和有空氣竄入氣柜的風(fēng)險(xiǎn)。此過程風(fēng)險(xiǎn)評(píng)估等級(jí)為中，且現(xiàn)有的保護(hù)措施不足。對(duì)此，建議開展LOPA分析，進(jìn)一步確定現(xiàn)有保護(hù)層是否達(dá)到過程安全目標(biāo)。

2 SIL定級(jí)

LOPA是在定性危害分析的基礎(chǔ)上，進(jìn)一步評(píng)估保護(hù)層的有效性，并進(jìn)行風(fēng)險(xiǎn)決策的系統(tǒng)方法[2]。對(duì)現(xiàn)實(shí)風(fēng)險(xiǎn)和預(yù)防或減輕危險(xiǎn)的保護(hù)層通過量化計(jì)算其發(fā)生危險(xiǎn)事件的概率，確定風(fēng)險(xiǎn)降低是否達(dá)到目標(biāo)風(fēng)險(xiǎn)要求。如果風(fēng)險(xiǎn)達(dá)不到過程安全目標(biāo)，則能以SIF的形式實(shí)現(xiàn)風(fēng)險(xiǎn)的降低。SIF的SIL可以通過LOPA分析導(dǎo)出。根據(jù)表1的氣柜危險(xiǎn)性分析場(chǎng)景繼續(xù)開展LOPA分析。

氣柜高度參數(shù)偏差場(chǎng)景分析結(jié)果為：氣柜高度降低，嚴(yán)重時(shí)氣柜抽負(fù)壓，設(shè)備損壞，空氣竄入，引起火災(zāi)爆炸，造成人員傷亡。物位測(cè)量失效可能導(dǎo)致氣柜抽負(fù)壓、設(shè)備損壞，使空氣竄入遇明火引發(fā)爆炸，點(diǎn)火概率取1.0。人員暴露概率的計(jì)算方式為：如果人員在現(xiàn)場(chǎng)，則取1.0。但根據(jù)生產(chǎn)操作實(shí)際情況，主要為巡檢人員暴露在現(xiàn)場(chǎng)。按1人每2小時(shí)巡檢一次，一次0.25小時(shí)計(jì)算，人在影響區(qū)域的概率為(1人/次×4次×0.25小時(shí)/次)/8小時(shí)=0.125，取0.2?？紤]事故后果影響范圍和人員在事故現(xiàn)場(chǎng)時(shí)間的長(zhǎng)短取致死概率，一般火災(zāi)致死概率取0.5。另外，考慮獨(dú)立的氣柜高度報(bào)警可作為關(guān)鍵報(bào)警和人員響應(yīng)，可作為獨(dú)立保護(hù)層，失效概率取0.1。

在不考慮現(xiàn)有保護(hù)層消減風(fēng)險(xiǎn)的情況下，綜合該場(chǎng)景下的初始事件、使能條件、點(diǎn)火概率、人員暴露概率及后果嚴(yán)重性等級(jí),得到該場(chǎng)景的初始風(fēng)險(xiǎn)。初始風(fēng)險(xiǎn)計(jì)算公式見式(1)[3]。

f=PIE×λEN×λFI×λEP

(1)

式中：f為初始風(fēng)險(xiǎn)頻率；PIE為初始事件頻率；λEN為使能條件概率；λFI為點(diǎn)火概率；λEP為人員暴露概率[3]。

根據(jù)式氣柜高度參數(shù)偏差場(chǎng)景初始風(fēng)險(xiǎn)的頻率(1)，f=PIE×λEN×λFI×λEP=1×10-1×1×0.2×0.5=1×10-2。

考慮現(xiàn)有保護(hù)層消減風(fēng)險(xiǎn)的情況下，LOPA分析中場(chǎng)景頻率計(jì)算公式見式(2)[4]：

(2)

現(xiàn)有風(fēng)險(xiǎn)后果發(fā)生頻率為1×10-3。現(xiàn)有風(fēng)險(xiǎn)等級(jí)為中，而保護(hù)層所取得的減輕和風(fēng)險(xiǎn)降低不足以滿足最低目標(biāo)風(fēng)險(xiǎn)值1×10-5。因此，需引入SIF作為獨(dú)立保護(hù)層。所需要的SIF低要求模式下的平均失效概率最低需滿足1×10-2，即在SIS中增加一個(gè)SIL2的SIF回路。給出的建議措施為增加氣柜高度低低聯(lián)鎖停羅茨風(fēng)機(jī)，以防止空氣進(jìn)入系統(tǒng)設(shè)備。以類似的方法，從財(cái)產(chǎn)、環(huán)境和企業(yè)聲譽(yù)影響進(jìn)行分析，現(xiàn)有的風(fēng)險(xiǎn)均為中風(fēng)險(xiǎn)，需采取進(jìn)一步降低風(fēng)險(xiǎn)的措施。

3 SIL驗(yàn)證

3.1 SIF回路設(shè)計(jì)

為實(shí)現(xiàn)氣柜高度控制回路的SIF達(dá)到SIL2級(jí)，氣柜高度低低聯(lián)鎖停羅茨風(fēng)機(jī)安全聯(lián)鎖(SIF03 LSLL-502203)設(shè)計(jì)如下。

氣柜高度測(cè)量采用E+H超聲波物位計(jì)。為保證聯(lián)鎖的安全性和可用性，設(shè)置3臺(tái)測(cè)量?jī)x表，分別為氣柜高度測(cè)量LT-502203A、氣柜高度測(cè)量LT-502203B、氣柜高度測(cè)量LT-502203C(新增)。3臺(tái)高度測(cè)量?jī)x表中，任意2臺(tái)儀表測(cè)量值同時(shí)低低(小于10%)時(shí)，聯(lián)鎖停羅茨風(fēng)機(jī)。

SIF概念設(shè)計(jì)模型如圖1所示。

圖1 SIF概念設(shè)計(jì)模型Fig.1 SIF conceptual design model

每個(gè)物位傳感器通過安全柵進(jìn)入輸入模塊后再進(jìn)入SIS;3個(gè)物位測(cè)量回路的輸入采用2oo3結(jié)構(gòu)；輸出為1oo2結(jié)構(gòu)，一路為控制羅茨風(fēng)機(jī)的停車回路，另一路為控制停車回路的二次電源。

3.2 SIL驗(yàn)證假設(shè)條件

為了進(jìn)行SIF03 LSLL-502203的SIS驗(yàn)證的可靠性計(jì)算，作以下假設(shè)。

①置設(shè)計(jì)使用年限為20年。

②各安全功能回路平均修復(fù)時(shí)間(mean time to repair，MTTR)假設(shè)為8 h。

③SIS各安全功能回路組件傳感器、邏輯控制器及相關(guān)執(zhí)行機(jī)構(gòu)檢驗(yàn)測(cè)試周期T=2年(17 520 h)。

④操作模式為低要求操作模式。

⑤SIF回路劃分為：傳感器單元、邏輯控制器單元和執(zhí)行單元。其中：傳感器、安全柵劃歸傳感單元；邏輯控制器單元包括Al、AO、DI、DO、CPU及電源模塊；執(zhí)行單元包括繼電器、電動(dòng)機(jī)等。

3.3 SIL驗(yàn)證過程

SIL的驗(yàn)證需要大量的數(shù)據(jù)支撐和復(fù)雜的算法，通常依賴專業(yè)軟件完成，如德國(guó)的exSILentia軟件、HIMA 公司的SILence 軟件以及西門子公司的SET 軟件等[5]。根據(jù)ISA-TR 84.00.02—2002介紹的低要求操作模式下SIF可靠性評(píng)估的簡(jiǎn)化公式，可以為工程技術(shù)人員對(duì)SIF的初步評(píng)估提供依據(jù)。

3.3.1 傳感器單元

傳感器單元失效數(shù)據(jù)如表2所示。表2中：λDD為檢測(cè)到的危險(xiǎn)失效概率；λDU為未檢測(cè)到的危險(xiǎn)失效概率；λSD為檢測(cè)到的安全失效概率；λSU為未檢測(cè)到的安全失效概率[6]。

表2 傳感器單元失效數(shù)據(jù)Tab.2 Failure data of sensor unit

對(duì)于每一個(gè)物位輸入回路，有λDU=1.35×10-6+3.4×10-8=1.38×10-6。

物位測(cè)量2oo3結(jié)構(gòu)在低要求模式下的平均失效概率Pavg-l簡(jiǎn)化計(jì)算公式如下[7]：

Pavg-l=(λdu)2×T2

(3)

式中：T為檢驗(yàn)測(cè)試周期，h;Pavg-l為低要求模式下的平均失效概率。

根據(jù)式(3)，傳感器的Pavg-l=(1.38×10-6)2×17 5202=5.85×10-4。

3.3.2 邏輯控制器單元

邏輯控制器單元包括模擬量輸入模塊[7]、邏輯控制器、電源模塊、數(shù)字量輸出模塊等。根據(jù)TCS-900通用數(shù)據(jù)庫的數(shù)據(jù)，邏輯控制器單元的Pavg約為1.33×10-4。

3.3.3 執(zhí)行單元

聯(lián)鎖動(dòng)作后同時(shí)停止羅茨風(fēng)機(jī)，同時(shí)輸出繼電器分?jǐn)嗔_茨機(jī)的控制回路二次電源。執(zhí)行單元為2個(gè)獨(dú)立的子系統(tǒng)SIF回路，分別驗(yàn)證總回路的平均失效率。執(zhí)行單元總的結(jié)構(gòu)為1oo2。執(zhí)行單元1為安全繼電器和高壓電動(dòng)機(jī)。執(zhí)行單元2為安全繼電器控制的二次回路電源。

執(zhí)行單元的失效數(shù)據(jù)如表3所示。

表3 執(zhí)行單元失效數(shù)據(jù)Tab.3 Failure data of execute unit

執(zhí)行單元1聯(lián)鎖輸出回路λdu=1.14×10-10+6.0×10-7=6.0×10-7。

執(zhí)行單元1為1oo1結(jié)構(gòu),Pavg簡(jiǎn)化計(jì)算公式如下[8]：

(4)

SIF03 LSLL-502203回路的總的平均失效率為:

Psis=Ps+PL+PA

(5)

式中：Psis為SIS中特定SIF的平均失效概率；Ps為特定SIF傳感器的平均失效概率；PL為邏輯控制器的平均失效概率；PA為特定SIF最終原件的平均失效概念率。

則執(zhí)行單元1的Psis=Ps+PL+PA=5.85×10-4+1.33×10-4+5.26×10-3=5.97×10-3，達(dá)到SIL2等級(jí)要求。

執(zhí)行單元2聯(lián)鎖輸出回路λdu=1.14×10-10。

執(zhí)行單元2為1oo1結(jié)構(gòu)，Pavg簡(jiǎn)化計(jì)算公式同式(4)[8]。

則執(zhí)行單元2的Psis=Ps+PL+PA=5.85×10-4+1.33×10-4+1.13×10-16=7.18×10-4，達(dá)到SIL3等級(jí)要求。

總上所述，SIF03 LSLL-l502203回路的SIL達(dá)到SIL2，達(dá)到所需的目標(biāo)完整性等級(jí)SIL2，即SIF回路的設(shè)計(jì)滿足等級(jí)要求。

3.4 結(jié)構(gòu)約束

根據(jù)IEC 61511要求，SIF回路的傳感器、邏輯控制器和執(zhí)行單元應(yīng)有最小的硬件故障裕度(hardware fault tolerance，HFT)。通過SIF回路失效概率的計(jì)算，結(jié)合HFT，得出結(jié)構(gòu)約束的SIF[9]。定義最小的HFT是為了防止因SIF設(shè)計(jì)中一系列的假設(shè)和失效率數(shù)據(jù)選擇不正確而導(dǎo)致的潛在缺陷。因此，需對(duì)子系統(tǒng)的HFT進(jìn)行校核。

結(jié)構(gòu)約束要求如表4所示。

表4 結(jié)構(gòu)約束要求Tab.4 Structural constraint requirements

由表4可知，SIL能力取傳感器單元、邏輯控制單元和執(zhí)行單元最小值，即SIL能力達(dá)到SIL2。

4 結(jié)論

本文以合成氨裝置造氣工序氣柜高度控制過程安全分析為例，通過生產(chǎn)工藝過程HAZOP分析和LOPA分析，確定現(xiàn)實(shí)安全風(fēng)險(xiǎn)等級(jí)。增加SIS的SIF回路安全功能設(shè)計(jì)，能夠達(dá)到降低風(fēng)險(xiǎn)的目的。

本文根據(jù)ISA-TR 84.00.02—2002介紹的低要求操作模式下SIF可靠性評(píng)估的簡(jiǎn)化公式，初步對(duì)SIF回路的SIL開展驗(yàn)證。將HAZOP、LOPA和SIL驗(yàn)證有機(jī)地結(jié)合起來，使工藝危害分析可以達(dá)到一個(gè)較為深入的水平[10-11]，從而提高過程安全的本質(zhì)水平。

該研究對(duì)化工工藝過程的安全風(fēng)險(xiǎn)控制起到積極的作用，其安全分析過程、方法對(duì)其他類似項(xiàng)目具有借鑒和推廣作用。